A versão atual do Remote Desktop é segura?

Alterações foram feitas em relação ao FIPS desde o Windows Server 2003 SP1 e agora é muito mais seguro de usar. Você pode ativar determinados recursos de segurança por meio do editor de política de grupo (execute gpedit.msc no menu Iniciar):

Corrija-me se eu estiver errado, mas você não precisou de uma VPN antes para acessar o RDP com segurança, foi considerado mais seguro, já que você tinha outra barreira que teria de acessar para se conectar ao máquina remota.

Isso por si só não fala com a segurança do Windows / RDP, que tem criptografia RSA RC4 para a conexão RDP.

Essas configurações estão disponíveis em (Windows 2003/2008 Server):

Programas > Ferramentas administrativas > Configuração dos serviços de terminal

E, a partir daí, você pode definir três tipos diferentes de criptografia: alta / média / baixa. Há detalhes sobre isso aqui: link

Existem muitas outras fontes que falam sobre sua segurança.

Agora é inseguro? Poderia ser, é vulnerável aos mesmos ataques que qualquer servidor Windows sofre. Depende de como o próprio servidor é configurado.

Desde Versão 6 (Vista / 2003 SP1 para cima), o protocolo RDP suportou TLS e criptografia de 128 bits via RC4. Não é de nível militar, a menos que você esteja falando sobre os militares nos anos 90, mas para a maioria dos usos será mais do que suficiente.

No que diz respeito à mensagem da CA confiável, você confia em que seu servidor seja o único que fornece o certificado? É como assinar seu próprio certificado SSL até onde eu sei.